HY-LDAP Tietotekniikkaosasto Ismo Aulaskari
HY:n LDAP-hakemisto Keskitetty autentikointi, eroon järjestelmäkohtaisista käyttäjätunnuksista Henkilö- ja organisaatiotiedon hakemisto eri järjestelmien käyttöön (henkilöiden oikeudet, roolit, laitosten sähköpostilistat ym.) Intranet-portaalin työryhmien säilytyspaikka OpenLDAP-palvelin, koodia muokattu hyödyntämään olemassaolevaa Radius-autentikointipalvelinta
Oliopuu Pelkistetty hakemistopuun hierarkia juuri laitokset henkilöt ryhmät Todellisuudessa kaksi erillistä tietokantaa!
Yhteensopiva tietosisältö LDAP-hakemistototeutusten mukana standardi henkilöattribuutti-skeema Laajennoksena oppilaitoksissa EduPerson-skeema (USA) Suomessa lisänä FunetEduPerson-skeema Helsingin yliopiston oma laajennos HyEduPerson
Tietosisältö..jatkuu HyEduPerson ”perii” kaiken aikaisempien skeemojen tietosisällön Vastaavankaltainen (matalampi) hierarkia on olemassa myös organisaatioyksiköille ja ryhmille
Henkilö-olion sisältöä Henkilökohtaisuudet: Roolit: Työ ja opinnot: Sijoitusyksiköt: Käyttöluvat:
Tietolähteet LDAP PROXY (ldap-internal) master dawa oodi NDS yksittäiset tietojärjestelmät ??? …
Tietolähteet - käyttölupakanta Oracle-käyttölupatietokannasta (”master”) LDAP-skriptit saavat henkilötiedot, mm. käyttäjätunnus, hetu, nimi luvan voimassaolot, valtuuksia.. Toimii pohjana muodostettaessa LDAP-muotoisia olioita
Päivitysrutiinit Tieto ”valuu” sidosryhmille LDAPin kautta. Henkilöhakemisto ja organisaatiotiedot päivitetään LDAPiin kerran vuorokaudessa (öisin) eri lähteistä Tärkeimmät muuttuneet tiedot synkronoidaan 15 minuutin välein, esim. uusien kevyttunnusten luonti. Ryhmät sen sijaan sijaitsevat vain LDAPissa Ryhmien ylläpitoon mm. web-työkaluja
mappi hy-ppp hupNet WebOodi liikuntavaraus www- lomakkeita … HY-portaali Nelli-portaali tilavaraus/MRBS webCT webikioskit … Virtuaali- yliopiston portaali LiTu … Nykyiset käyttäjät LDAP PROXY SHIBBOLETH RADIUS PROXY
PERL-LDAP-synkronointiautomaatti Net::LDAP-moduuli(t) Suojattu yhteys PERLin tiedostotietokannat välitalletuksiin n synkronoitavaa henkilö-oliota
Skriptien yhteistyö tietolähteet LDAP LDAP-muotoisten olioiden luonti levylle olioiden vertailupäivitys LDAP-palvelimelle väliaikaistiedosto rajapintamoduuli attribuuttimoduuli
LDAP-olioiden muodostus Tehdään tietokantahaut eri lähteistä muistiin -> n.150MB! Generoidaan jokaiselle käyttäjätunnukselle LDAP-olio muuttaen tietolähteiden tiedot LDAP-syntaksin mukaisiksi Talletetaan jokainen olio sitä mukaa väliaikaistiedostoon tietolähteet LDAP-muotoisten olioiden luonti levylle
LDAP-palvelimelle kirjoittaminen Väliaikaistiedoston valmistuttua käynnistetään uusi, pieni skripti (tai useampia) Ajetaan oliot tiedostosta yksi kerrallaan LDAP-kyselyillä hakemistopalvelimelle Säästetään muistia, LDAP-serveri pysyy koko ajan käynnissä LDAP olioiden vertailupäivitys LDAP-palvelimelle
Synkronointi, madonluvut Kummankin skriptin lopussa talletetaan tilastot lokiin ja kerätään virheilmoitukset lähetettäväksi ylläpitäjille Aikaa tunnukseen menee 1,5h - 7h ruuhkaisen LDAP-hakemiston totaalipäivitys ruuhkaiselta Oracle- palvelimelta (n. puolet ajasta menee LDAPiin kirjoittamiseen) Samanlaiset rutiinit yliopiston organisaatiohierarkian luomiselle, sillä erolla että käyttäjätunnus=yksikkökoodi ja kaikkia attribuutteja(päätoimittaja) ei päivitetä. Aikaa menee yliopiston n. 240 yksikköön 1-5min